استخدم مصنفاتMicrosoft Azure Sentinel الافتراضية

  • 5 دقائق

يوفر Microsoft Azure Sentinel عدة قوالب جاهزة للاستخدام. يمكنك استخدام هذه القوالب لإنشاء مصنفك ثم قم بتعديلها حسب حاجة شركة Contoso.

مصنفات Microsoft Azure Sentinel

تأتي معظم موصلات البيانات التي يستخدمها Microsoft Azure Sentinel لاستيعاب البيانات مع المصنفات الخاصة بها. يمكنك الحصول على رؤى حول البيانات التي يتم استيعابها باستخدام الجداول والمرئيات، بما في ذلك المخططات الشريطية والدائرية. يمكنك أيضا إنشاء المصنفات الخاصة بك من البداية بدلا من استخدام القوالب المعرفة مسبقا.

صفحة "Workbook"

يمكنك الوصول إلى صفحة المصنفات ل Microsoft Sentinel من جزء التنقل. في صفحة المصنفات ، يمكنك إضافة مصنف جديد ومراجعة المصنفات والقوالب المحفوظة المتوفرة.

يمكنك الوصول إلى قوالب المصنفات الموجودة في علامة التبويب قوالب . يمكنك حفظ بعض المصنفات للوصول السريع إليها. تظهر على علامة التبويب المصنفات الخاصة بي.

من علامة التبويب قوالب، يمكنك تحديد مصنف موجود لعرض جزء تفاصيل له، والذي يحتوي على معلومات إضافية للقالب. يحتوي جزء التفاصيل أيضا على معلومات حول أنواع البيانات المطلوبة وموصلات البيانات التي يجب أن تكون متصلة بـ Microsoft Azure Sentinel. يمكنك أيضا مراجعة كيفية عرض التقرير.

مراجعة قالب مصنف موجود

كما ذكر سابقًا، تشعر شركة Contoso بالقلق إزاء الهويات التي تم اختراقها. بصفتك مسؤول الأمان، يمكنك فحص مصنف سجلات تسجيل الدخول إلى Microsoft Entra الحالي عن طريق تحديد هذا القالب في قسم القوالب. ثم حدد عرض القالب في جزء التفاصيل.

يحتوي مصنف سجلات تسجيل الدخول في Microsoft Entra على مخططات ورسومات وجداول معرفة مسبقا يمكن أن توفر نظرة ثاقبة مهمة حول نشاط تسجيل الدخول في معرف Microsoft Entra. يمكنك العثور على معلومات حول عمليات تسجيل دخول المستخدم ومواقعه وعناوين البريد الإلكتروني وعناوين IP للمستخدمين. يمكنك أيضا مراجعة معلومات حول الأنشطة الفاشلة والأخطاء التي أدت إلى الفشل.

في صفحة سجلات تسجيل الدخول إلى Microsoft Entra، يمكنك توسيع النطاق الزمني أو تصفية التطبيقات والمستخدمين الذين لديهم امتيازات تسجيل الدخول في Microsoft Entra ID. على سبيل المثال، تريد Contoso تحديد المستخدمين الذين يمكنهم تسجيل الدخول إلى مدخل Microsoft Azure، حتى تتمكن من تصفية البيانات كما يلي.

Screenshot that displays Sign-in Analysis with filtering of the users that sign-in to the Azure portal.

تهتم شركة Contoso بتحديد محاولات تسجيل الدخول الفاشلة. يمكنك عرض هذه الحسابات عن طريق تحديد لوحات المعلومات، ثم تحديد لوحة أو صف لعرض مزيد من المعلومات مثل:

  • تسجيل الدخول حسب الموقع. يشير هذا القسم إلى الموقع الذي سجل المستخدم الدخول منه إلى معرف Microsoft Entra.
  • تفاصيل تسجيل الدخول إلى الموقع. يعرض هذا القسم المستخدمين وحالة تسجيل الدخول الخاصة بهم ووقت محاولة تسجيل الدخول.
  • تسجيل الدخول حسب الجهاز. يسرد هذا القسم الأجهزة التي يستخدمها المستخدمون لتسجيل الدخول إلى معرف Microsoft Entra.
  • تفاصيل تسجيل الدخول إلى الجهاز. يعرض هذا القسم المستخدمين الذين قاموا بتسجيل الدخول إلى جهاز معين ووقت تسجيل الدخول.

تم تكوين لوحة المعلومات هذه في الخلفية لتشغيل الاستعلام وتصفية البيانات التي تم جمعها من موصل Microsoft Entra. يقوم Microsoft Sentinel بعد ذلك بتصور وعرض البيانات التي تم جمعها باستخدام الجداول، والتي تكون أكثر فائدة وتوفر رؤى مفيدة حول محاولات تسجيل دخول المستخدم.

يحتوي المصنف على لوحات أخرى تشير إلى المستخدمين الذين سجلوا الدخول باستخدام الوصول المشروط. من جدول حالة الوصول المشروط، يمكنك مراجعة المستخدمين الذين طلبوا مصادقة متعددة العوامل للتحقق من هويتهم.

Screenshot of Conditional Access activity.

تحتوي بقية الصفحة أيضا على جداول ومخططات تفاعلية. حدد بعض الصفوف أو الإطارات المتجانبة لتصفية البيانات المقدمة. ويتم إنشاء بعض الجداول مع ارتباطات إلى السجلات المطابقة كما هو معروض في لقطة الشاشة التالية.

Screenshot of the links that can open the query in Azure Data Explorer or pin the query in dashboard.

إشعار

يمكنك أيضًا تثبيت خطوة الاستعلام في لوحة المعلومات الخاصة أو المشتركة لاسترجاعها بسرعة.

تحرير الاستعلام من المصنف

على سبيل المثال، تريد Contoso البحث في السجلات للحصول على مزيد من المعلومات التي تقدم تسجيل دخول المستخدم الفاشل. تتم إعادة توجيههم إلى Azure Data Explorer، حيث يقوم Microsoft Sentinel بإجراء استعلام السجل لتصفية المعلومات.

Screenshot of Data Explorer.

استكشاف المصنفات المحفوظة

من صفحة Templates، يمكنك حفظ مصنف من القوالب الموجودة عن طريق تحديد أحد القوالب، ثم تحديد Save. يجب توفير موقع للإشارة إلى المكان الذي تريد حفظ المصنف فيه. تنشئ هذه العملية مورد Azure استنادا إلى القالب مع ملف JSON الخاص بالقالب.

تتوفر المصنفات المحفوظة في علامة التبويب مصنفاتي ، حيث يمكنك تخصيصها. يمكنك فتح المصنفات المحفوظة عن طريق تحديد View saved workbook. يفتح هذا الإجراء نفس صفحة مصنف القالب، ولكن يمكنك تخصيص هذا الإجراء استنادا إلى متطلبات Contoso.

حدد تحرير لفتح المصنف في وضع التحرير. يمكنك إضافة عناصر أو إزالتها وتوفير المزيد من التخصيص. يعرض وضع التحرير كافة المحتويات في المصنف، بما في ذلك الخطوات والمعلمات التي قد تكون مخفية في وضع القراءة.

ويحتوي شريط الرأس في وضع التحرير على العديد من الخيارات، والتي توضحها لقطة الشاشة التالية.

Screenshot of the Editing mode that depicts the various editing options such as Save, Save As, Settings, Refresh, Share, Help, and more.

عند التبديل إلى وضع التحرير، لاحظ العديد من خيارات التحرير التي تتوافق مع كل جانب فردي من المصنف. إذا قمت بتحديد أحد خيارات التحرير هذه، يمكنك فحص الاستعلام الذي يستخدمه Microsoft Azure Sentinel لتصفية البيانات من السجل المطابق.

عند تحديد أيقونة الإعدادات، تفتح صفحة الإعدادات، حيث يمكنك توفير الموارد الأخرى التي تريد استخدامها في المصنف. ويمكنك أيضًا تغيير نمط المصنف أو توفير علامات أو تثبيت عنصر في المصنف.

Screenshot of the Settings page.

يمكنك إعادة ترتيب موضع جداول مختلفة في المصنف عن طريق تحديد Show Pin Options.

للتخصيص المتقدم، يمكنك تحديد Advanced Editor لفتح تمثيل JSON للمصنف الحالي، ثم تخصيصه في محرر النص. ويمكنك حفظ التغييرات على المصنف الموجود أو حفظها كمصنف آخر. عند الانتهاء من جميع التخصيصات، يمكنك الخروج من وضع التحرير عن طريق تحديد تم التحرير.

استكشاف مستودع Microsoft Sentinel على GitHub

يحتوي مستودع Microsoft Sentinel على عمليات الكشف الجاهزة واستعلامات الاستكشاف واستعلامات التتبع والمصنفات ودلائل المبادئ والمزيد لمساعدتك في تأمين بيئتك واكتشاف التهديدات. تساهم Microsoft ومجتمع Microsoft Azure Sentinel في هذا المستودع.

يحتوي المستودع على مجلدات ذات محتوى مساهم في عدة مناطق من وظائف Microsoft Azure Sentinel بما في ذلك استعلامات الكشف. يمكنك استخدام تعليمات البرمجية من هذه الاستعلامات لإنشاء استعلامات مخصصة في مساحة عمل Microsoft Azure Sentinel.

‏‫اختبر معلوماتك

1.

أي من العناصر التالية لا يمكن أن يكون جزءا من المصنف؟

2.

في أي قسم من مصنف سجلات تسجيل الدخول إلى Microsoft Entra يمكن للمسؤول العثور على معلومات يطلب من المستخدمين إجراء مصادقة متعددة العوامل (MFA) للتحقق من هويتهم.